Zello-Benutzer müssen Kennwörter zurücksetzen, nachdem ein Datenverstoß festgestellt wurde

Zello ist eine Push-to-Talk-Anwendung mit mehr als 100 Millionen Benutzern auf der ganzen Welt. Die Entwickler haben auch eine Version für Polizisten, Feuerwehrleute und Sanitäter entwickelt, die sie für die sofortige Kommunikation im Notfall verwenden können. Glücklicherweise war diese Version nicht von einem kürzlich von Zello erlittenen Datenverstoß betroffen.

Zello wurde Anfang Juli von einem Datenverstoß betroffen

Am 8. Juli bemerkte Zello "ungewöhnliche Aktivitäten" auf einem seiner Server. Es warf die Eindringlinge raus, benachrichtigte die Strafverfolgungsbehörden und rief eine unabhängige Firma an, um bei den Ermittlungen zu helfen.

Wie bereits erwähnt, stellten sie fest, dass Zello for First Responders nicht von dem Verstoß betroffen war, und Zello Work, die kostenpflichtige Version der Push-to-Talk-App, auch nicht. Nur die Benutzer der kostenlosen Zello-App wurden getroffen, und die Benachrichtigung über Datenschutzverletzungen versucht, den Eindruck zu erwecken, dass sie sich nicht so viele Sorgen machen müssen.

Anscheinend gelang es den Hackern, auf eine Datenbank zuzugreifen, die die E-Mail-Adressen und Hash-Passwörter aller Zello-Benutzer enthielt. Das Unternehmen weist darauf hin, dass die meisten Menschen ihre E-Mail-Adresse nicht als Benutzernamen und / oder Passwort verwenden, was das Risiko einer erfolgreichen Kontoübernahme verringert. Aus Vorsicht müssen alle Benutzer ihre Passwörter bei der nächsten Anmeldung in der App zurücksetzen. Sie werden außerdem aufgefordert, sie auf anderen Websites zu ändern, auf denen sie sie möglicherweise wiederverwendet haben.

Zello ist nicht bereit, zu viele Details zu teilen

Es muss gesagt werden, dass die Benachrichtigung in Einzelheiten ausgesprochen knapp ist. Es gibt keine Informationen darüber, wie die Hacker eingebrochen sind und was das Unternehmen getan hat, um ähnliche Vorfälle in Zukunft zu verhindern. Wir sind uns bewusst, dass Zello möglicherweise noch nicht das vollständige Bild hat, aber nach fast einem Monat der Untersuchung muss es eine relativ klare Vorstellung davon haben, was passiert ist und warum.

Eine Sache, die Zello weiß, aber nicht offengelegt hat, ist der Hashing-Algorithmus, der zum Schutz der Passwörter verwendet wurde. Wir wissen genau, dass Hashing der beste Weg ist, um Anmeldedaten sicher zu speichern, aber wir wissen auch, dass einige Hashing-Algorithmen robuster sind als andere. Wenn die Hacker in der Lage sind, die Hashes zu knacken und die Klartextkennwörter zu extrahieren, befinden sich die Benutzer in einer viel prekäreren Situation.

Einige von Ihnen könnten sagen, dass Zello durch die Aufforderung an Benutzer, ihre Passwörter zu ändern, ihnen hilft, das Risiko zu minimieren. Realistisch gesehen führt eine einzelne Benachrichtigung über Datenverletzungen jedoch nicht dazu, dass 100 Millionen Menschen eine vollständige Überprüfung ihrer Kennwortverwaltungspraktiken durchführen, insbesondere wenn in dieser Benachrichtigung angegeben wird, dass die gefährdeten Anmeldeinformationen "unlesbar" sind. Wenn das Unternehmen transparenter über die Risiken ist, denen Benutzer ausgesetzt sind, ist die Anzahl der Personen, die anhalten und über die Sicherheit ihrer Online-Konten nachdenken, wahrscheinlich viel höher. Natürlich sollten wir die Möglichkeit nicht ausschließen, dass Zello die Passwörter der Benutzer sicher gehasht hat, aber die Unsicherheit und der Mangel an spezifischen Informationen tragen nicht dazu bei, sicherheitsbewussten Benutzern zu versichern, dass alles in Ordnung ist.